每个被云堡垒机纳管的资产可能有一个或多个登录资产的账号。若您已配置了资产的相关账号,那么运维人员在登录纳管资产时,可以自动登录无需输入账号和密码。
前提条件
仅“管理角色”支持资产相关的操作。
新增资产账号
资产账号有两种添加方式:
在新增资产时添加,具体可参考资产章节。
在“资产账号”模块添加,本章节内容以此添加方式展开介绍。
使用“管理角色”账户登录云堡垒机系统。
在左侧导航栏选择“资产管理 > 资产账号”,进入“资产账号”页面。
单击“新增”按钮,在弹出的“新增资产账号”对话框中添加资产信息。
分类 参数 参数说明 取值样例 资产信息 资产名 选择需要添加资产账号的资产,请确保待添加的账号可以正常登录该资产。 - 账号信息 账号名 填写可登录资产的账号名。 root 密码 (可选)输入正确的账号密码。若不输入密码,则在登录资产时需要填写正确的密码才可登录。 - 私钥 (可选)若账户登录需要使用私钥验证,请开启此选项并且上传RSA私钥证书,并填写证书密码保存至堡垒机中。 使用协议 (可多选)请选择资产的协议,支持选择:SSH、TELNET、SFTP、FTP、X11、RDP和数据库。 SSH 状态 (可选)选择新增账号目前的状态,可选“正常”或“冻结”。 正常 多层登录配置 二次登录 该功能主要用于配置不允许直接登录的特权账号(例如 root),实现免密提权。
开启二次登录,并配置源账号名、切换命令,可将源账号提权为特权账号。
说明
仅ssh、telnet协议支持配置二次登录。
源账号名 选择已配置的资产账号作为源账号(例如 testuser),二次登录场景将由该源账号提权为特权账号。
testuser 切换命令 针对CTyunOS、CentOS系统,执行该切换命令,实现由源账号提权到特权账号,例如 su - root。
说明
资产系统上的源账号需要具有执行切换命令( 例如 su -)的权限。
若没有权限,可参考如下操作进行配置:
# 将testuser加入wheel组 usermod -aG wheel testuser # 刷新组 newgrp wheelsu - 填写完成后单击“提交”即成功新增资产账号。
导入资产账号
使用“管理角色”账户登录云堡垒机系统。
在左侧导航栏选择“资产管理 > 资产账号”,进入“资产账号”页面。
单击“导入”按钮,在弹出的对话框中下载导入文件模板。
在导入文件模板中填写内容,填写完成后保存文件。
模版参数说明:
分类 参数 参数说明 取值样例 资产信息 资产名称 填写需添加资产账号的资产名(资产名需和堡垒机控制台上显示的一致),请确保待添加的账号可以正常登录该资产。
多个资产用英文逗号“,”隔开。
Test 账号信息 账号名 填写可登录资产的账号名,例如:Administrator。 root 密码 (可选)输入正确的账号密码。若不输入密码,则在登录资产时需要填写正确的密码才可登录。 - 协议 (可选)请选择资产的协议,支持填写:SSH、TELNET、SFTP、FTP、X11、RDP和数据库。
多个协议用英文逗号“,”隔开。
- 状态 (可选)选择账号当前的状态,支持“正常”和“冻结”,导入模板时若不填写该项,默认为“冻结”状态 正常 私钥 (可选)若账户登录需要使用私钥验证,你上传的私钥认证优先级高于密码认证。 - 多层登入配置 二次登录 该功能主要用于配置不允许直接登录的特权账号(例如 root),实现免密提权。
开启二次登录,并配置源账号名、切换命令,可将源账号提权为特权账号。
说明
仅ssh、telnet协议支持配置二次登录。
是 源账号名 选择已配置的资产账号作为源账号(例如 testuser),二次登录场景将由该源账号提权为特权账号。 testuser 单击“选取文件”,上传已填写完成的导入文件。若文件已加密,还需填写文件解密密码。
单击“提交”,完成资产账号导入。
编辑资产账号
若您的资产账号密码保存在堡垒机内,并且近期发生了密码变更,那么您可以通过编辑资产账号来修改保存在堡垒机上的密码。
使用“管理角色”账户登录云堡垒机系统。
在左侧导航栏选择“资产管理 > 资产账号”,进入“资产账号”页面。
选择需要修改账号信息的资产账号,单击“操作”列的“编辑”按钮。
在弹出的对话框中修改相关参数,单击“提交”完成修改。
冻结/解冻资产账号
您可以在云堡垒机控制台冻结已纳管的资产账号,处于“冻结”状态的资产账号无法登录资产。
使用“管理角色”账户登录云堡垒机系统。
在左侧导航栏选择“资产管理 > 资产账号”,进入“资产账号”页面。
勾选需要冻结/解冻的账号,单击“冻结”/“解冻”按钮。
在弹出的对话框中单击“确定”完成操作。
